El Request for Comments (RFC) 1823 de agosto de 1995 introdujo la Interfaz de Programación de Aplicaciones (API) del Protocolo Ligero de Acceso a Directorios (LDAP). Se podría decir que este importante trabajo sirvió de base para la gestión moderna de identidades. Y sin embargo, sorprendentemente, la palabra identidad no aparece ni una sola vez en todo el RFC. (La palabra directorio aparece catorce veces y la palabra acceso, seis).
El Directorio Activo (AD) de Microsoft, que apareció por primera vez en Windows 2000, tiene sus raíces en los primeros trabajos de LDAP. Desde entonces, el conjunto de servicios de AD de Microsoft no ha dejado de mejorar, y pocos discutirían que AD es la base estructural de la mayoría de los servicios relacionados con la identidad y los dominios empresariales. Sin embargo, como era de esperar, este papel vital sitúa a AD como un objetivo atractivo para las campañas destructivas contra una empresa.
Lecturas relacionadas
Teniendo esto en cuenta, esta semana he pasado un tiempo con una start-up de seguridad llamada Semperis. Fundada en 2014, con sede en el World Trade Center (a tiro de piedra de nuestra oficina de Fulton Street) y un centro de I+D adicional en Israel, la empresa se centra en ayudar a los equipos empresariales a hacer que su infraestructura de AD sea más robusta y resistente a los ciberataques y otros desastres. El debate fue fascinante y he aquí un resumen de lo que aprendí:
"Denominamos a nuestra solución de seguridad ciberresiliencia basada en la identidad", explica Mickey Bresman, cofundador de Semperis. "Lo que hacemos específicamente es ofrecer a los clientes un medio para abordar los puntos ciegos en el sistema de auditoría de AD, para automatizar el proceso de recuperación de AD en caso de ransomware o algún otro ataque, y proporcionar una rápida restauración de los objetos y atributos de AD a menudo reduciendo la recuperación de días o semanas a horas."
Una decisión que impulsa el modelo de Semperis consiste en desvincular la AD del sistema operativo Windows durante la recuperación, lo que permite una restauración limpia en caso de que un ejecutable comprometido pudiera volver a infectar el sistema recuperado. Otra idea técnica consiste en desvincular la restauración de la dependencia del hardware subyacente. Esto permite la recuperación en un entorno de alojamiento menos restringido, incluidos los sistemas de nube pública.
"La automatización es un aspecto valioso de nuestra solución", afirma Bresman, "porque muchos procesos actuales de recuperación y restauración -si es que existen- son manuales y, por tanto, requieren mucho tiempo y esfuerzo, por no mencionar que introducen la alta probabilidad de error humano. Hemos ayudado a nuestros clientes a reducir el tiempo de recuperación de AD, lo que se traduce en una mayor resistencia a las ciberamenazas y los desastres."
Le pregunté a Bresman por qué los equipos de las empresas esperan a ser atacados antes de tomar medidas reductoras del riesgo en su infraestructura de directorios. Su respuesta fue interesante: dado que Semperis se centra en la respuesta proactiva, aceptan que los ataques y los desastres son inevitables. Pero el matiz es que Semperis ayuda a los equipos de las empresas a preparar con antelación su respuesta. El resultado es un buen equilibrio entre preparación y respuesta.
La oferta de productos estrella de la empresa se llama Semperis Active Directory Forest Recovery (ADFR), que incluye restauración de controladores de dominio, recuperación de particiones y recuperación de bosques. La restauración puede realizarse en cualquier servidor, virtual o físico, tanto en las instalaciones como en la nube. Semperis también ofrece una plataforma de protección de servicios de directorio (DSP) que permite la visibilidad en tiempo real, el seguimiento de los cambios en AD y la corrección automática.
Durante nuestra conversación, Bresman me llevó a través de una impresionante lista de equipos empresariales que están utilizando Semperis ahora para hacer frente a sus riesgos operativos y de seguridad AD. Al parecer, una empresa redujo su tiempo de restauración de días (que lamentablemente se puso a prueba mediante un ataque de ransomware a gran escala que degradó su funcionamiento), a un nuevo tiempo de restauración que se calcula en aproximadamente tres horas. Toda una mejora.
Si gestiona una infraestructura empresarial que depende de AD para los servicios relacionados con dominios e identidades, y le preocupa la posibilidad real de que algo destructivo pueda salir mal, ya sea de forma malintencionada o accidental, le recomendamos encarecidamente que llame al equipo de Semperis. Pídales que compartan con usted sus casos de uso para la restauración rápida y automatizada. Sospecho que quedará impresionado y, con un poco de suerte, convencido.
Como siempre, después de su debate, por favor comparta con todos nosotros lo que ha aprendido.